이번주 웹 서비스 및 보안 업체 클라우드플레어(Cloudflare)가 2022년 5월부터 1년 간 발송된 2억 5,000만 건의 악성 이메일을 분석한 결과, 탐지된 위협의 1/3이 넘는 35.6%의 이메일에 사기성 속임수 링크가 실렸다고 발표했다. 사이버 공격자는 합법적 발신자가 사용하는 이미지와 서식을 도용해 사기성 이메일을 진짜처럼 보이게 만드는 것에 점점 더 능숙해진다. 악성 링크를 클릭하면 공격자가 제어하는 랜딩 페이지로 이동해 이후 인증 정보 탈취, 원격 코드 실행, 네트워크 손상 등의 피해가 초래된다.
클라우드플레어는 피싱 공격에 사용되는 표준 기법이 더욱 정교해지고 있다고 밝혔다. 공격자는 피싱 이메일을 발송하기 훨씬 이전에 악성 도메인을 만들어서 신규 도메인이 발송하는 메시지를 가려내는 시스템을 회피한다. 또한, 발신자 정책 프레임워크, 도메인키(DomainKeys) 식별 메일, 도메인 기반 메시니 인증 보고 및 준수 같은 일반적인 이메일 서버 보안 기술을 우회하는 것이 상대적으로 쉬워졌다.
이러한 기술은 도메인명을 스푸핑하거나 안전한 것으로 위장한 이메일에는 적용되지 않는다. 또한 보통 메시지 자체의 콘텐츠는 검사 대상이 아니고, 전송 도메인이 올바르게 구성되었는지만 검사한다.
신원 사칭은 지난해 탐지된 위협 중 가장 빠르게 성장하는 기술로 3.9%에서 14.2%로 비중이 크게 늘었다. 가장 많이 사칭된 기업은 전체 9.9%인 마이크로소프트이고 9.7%인 보잉이 그 뒤를 이었다. 가장 사칭이 잦은 상위 10곳의 기업은 세계보건기구(WHO), 구글, 스페이스X, 세일즈포스, 애플, 아마존, T-모바일이었다. 클라우드플레어 조사에 따르면 브랜드 사칭은 대중적 인지도가 매우 높은 기업에 집중되는 경향이 있고, 모든 이메일 피싱 사고의 60%가 전 세계적으로 유명한 브랜드 사칭과 관련이 있었다.
마지막으로 기업에서 특히 위험한 것은 악의적 첨부파일이나 사기성 링크가 필요하지 않고, 공격자가 합법적 출처에서 보낸 가짜 송장 등을 전송하기 쉬운 손상된 이메일이다. 기업 이메일 침해 공격은 전체 위협 중 상당히 적은 0.5%를 차지했는데, 클라우드플레어는 공격 주기 초기에 식별되는 경향이 있기 때문이라고 설명했다.
editor@itworld.co.kr